第1章.系统安全设计本章将从系统安全风险分析着手，从物理安全风险，网络安全风险、应用安全风险三个方面进行分析，并同时针对三种风险给出相应的解决方案，最后从系统故障处理和系统安全管理两方面对系统安全管理和运行提供参考意见。

1.1.系统安全风险分析城建档案馆综合业务网络络系统的安全可靠运行是此次设计的重中之重，安全不单是单点的安全，而是整个系统的安全，需要从物理、网络、系统、应用与管理等方面进行详细考虑和分析，设计保障全馆系统安全运行的方案。

下面各节将针对各种综合业务网络络中可能出现的风险进行详细分析，便于针对出现的网络风险进行针对性设计。

1.1.1.物理安全风险物理安全是整个全馆系统安全的前提。

安全以人为本，如果管理不善或一些不可抗力的因数的存在，城建档案馆网络的物理环境可能存在如下的风险：●地震、水灾、火灾等环境事故造成整个系统毁灭；●设备被盗、被毁造成数据丢失或信息泄漏；●电磁辐射可能造成数据信息被窃取或偷阅；1.1.2.网络安全风险在综合业务网络络化系统设计中，信息在局域网和广域网中传输，而在网络中进行传输的数据和信息，都存在被窃听和篡改的危险，这也是在综合业务网络络设计中需要着重考虑的一点。

另外当从一个安全区域（子网）访问另一个安全保护要求不同的区域（子网）时，存在对不应访问的数据、交易与系统服务操作的危险。

所以在综合业务网络络安全设计中，需要考虑对网络入侵行为的探测、报警、取证等机制，尽量减少已知网络安全危险的攻击。

下文将从三个方面对网络安全风险进行详细分析。

1.1.2.1.来自与广域网的安全威胁城建档案馆的办公网是与广域网连接的，在本次设计中，办公网与专业网进行了物理隔离，而两个网络间的数据传输，通过收录系统的高安全区进行数据传输，所以对于广域网的威胁近期可能主要考虑高安全区的设置。

但从整体规划来看，办公网由于业务需要，今后可能需要与主干平台的核心交换机进行连接，所以来自广域网的安全如果内部网络系统设计考虑不够全面，防护隔离措施设计不够强壮，就极有可能导致通过主干交换机进入各个业务系统，从而直接危险生产系统和生产管理系统，导致节目的正常制播业务无法开展。

因此对这部分我们也需要重点考虑。

由于广域网的开放性、自由性，内部网络将面临更加严重的安全威胁。

网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。

1.1.2.2.内部局域网的安全威胁据统计在已有的网络安全攻击事件中，约70%是来自内部网络的侵犯。

来自机构内部局域网的威胁包括：➢误用和滥用关键、敏感数据和计算资源。

无论是有故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给应用带来很大的负面影响；➢如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；➢内部员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。

1.1.2.3.网络设备的安全隐患网络设备的安全隐患主要包括下面两个部分：➢网络设备中包含路由器、交换机等，它们的设置比较复杂，可能由于疏忽或不正确理解而使这些系统可用而安全性不佳；➢通讯线路故障可能是由于电信提供的远程线路的中断，也可能发生在局域网中；1.1.3.系统和应用风险分析所谓系统安全通常是指网络操作系统、应用系统的安全，同时在系统安全设计的时候，还需要考虑到系统数据的安全，在广电网络设计中，需要重点考虑的就是媒体数据和数据库数据的安全。

1.1.3.1.操作系统的安全风险分析操作系统的安装以正常工作为目标，一般很少考虑其安全性；因此安装通常都是以缺省选项进行设置。

从安全角度考虑，其表现为装了很多用不着的功能模块，开放了很多不必开放的端口，其中可能隐含了安全风险。

目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door。

而且系统本身必定存在安全漏洞。

这些“后门”或安全漏洞都将存在重大安全隐患。

但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。

如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。

因此应正确估价网络风险并根据网络风险大小做出相应的安全解决方案。

1.1.3.2.应用系统的安全风险应用系统的安全涉及很多方面。

在城建档案馆全馆应用系统而言，简单来说分为两个部分，一部分是属于应用系统的支撑系统，如BS等软件的运行平台，如主干平台的中间件等产品，如数据库、统一认证的LDAP等产品；另一部分为用于界面层的应用系统，即用户可以直接操作使用的应用系统。

这两部分由于涉及众多的应用软件，并且都直接面向客户，所以风险表现更为直接。

同时由于产品多且门类复杂，对于软件本身的应用熟知程度都会导致系统能否继续稳定运行，而且软件本身的功能与漏洞导致的也将导致系统能否稳定运行。

在系统设计中需要尽可能减少因应用系统而导致的安全风险。

1.1.3.3.资源共享的安全风险城建档案馆网络系统内部有办公网络，而办公网络应用通常是共享网络资源，比如文件共、打印机共享等。

由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少了必要的访问控制策略。

1.1.4.管理的安全管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。

责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

因此全馆安全设计除了从技术上下功夫外，还得依靠安全管理来实现和保障。

管理方面的安全隐患包括：➢内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解；➢内部管理人员或员工责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密；➢内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险；➢机房重地却是任何人都可以进进出出，来去自由。

存有恶意的入侵者便有机会得到入侵的条件；➢员工有的可能熟悉服务器、小程序、脚本和系统的弱点。

利用网络开些小玩笑，甚至破坏。

如传出至关重要的信息、错误地进入数据库、删除数据等等。

这些都将给网络造成极大的安全风险。

1.2.物理安全设计物理安全是保护计算机网络设备、视音频设备设施等免遭地震、水灾、火灾、电力故障等环境事故以及人为操作失误或错误而导致的破坏。

保证物理安全的具体措施包括：➢系统中相关核心设备部署在专业机房内，机房内铺设防静电地板，采用独立空调制冷，每天定时监测机房内温度、湿度、空气洁净度等指标，确保符合设备正常运行的要求。

➢所有机架的电源分两路独立供电，对于关键服务器的供电使用UPS不间断电源，服务器及关键存储、交换设备等均配置冗余电源，分别接在两路电源之上。

➢设备上架之后按照布线标准连接网线、光纤线、电源线、键盘鼠标显示器线等。

所有线缆均以色环或标签进行标示，线缆插拔时不得有相互干扰。

机架外线缆一律置于地板之下，室内无明线散线。

➢对于进出机房的人员进行严格控制，严禁闲杂人等入内。

对于机柜的前后门钥匙统一管理，不得随意打开机柜门进行操作。

1.3.网络安全系统设计综合业务网络络的安全架构应该设计成一个分层面的立体式防护结构，在系统网络安全的设计上，主要从防毒和防黑两个方面进行系统设计，对于业务系统而言，外部主要网络威胁来自办公网的访问，内部主要威胁来自内网的病毒感染，所以系统设计上从入口处通过防火墙部署实现对入口的网络安全保护，而内网的保护则依靠防病毒软件和VLAN划分，尽量减少病毒的扩散范围。

1.3.1.网络安全级别分析根据各子网的职责和任务我们把整个网络系统分为4个安全级别，从安全级别最低的Internet区到级别最高的播出控制系统，这是进行综合业务网络安全设计的主要依据。

级别一：Internet是不被信任的，风险最高的区域；级别二：办公网的工作既要求访问Internet，又要与内部业务系统产生联系；级别三：各子系统的终端站点需要访问数据中心和存储系统，不能访问外网，是人为介入较多的部分；级别四：播出系统是全馆的重中之重，属于最高的安全级别；另外各系统核心服务器组成的数据中心是各业务系统的核心部分，需要额外保护。

不同安全区域之间的访问将受到严格的控制，安全级别较低的区域原则上是不允许访问安全级别较高的区域的，从根本上杜绝了不安全因素的产生。

正常的从低到高的访问将在防火墙、VLAN划分等安全隔离部署上做精确的安全策略，保证通信的畅通。

1.3.2.防火墙设计及部署结合城建档案馆综合业务网络系统的实际情况和需求，采用防火墙模块安放办公网与专业网连接的服务器上，且两端采用异构防火墙，充分保证安全，构成一道安全防护体系。

防火墙的作用是对安全级别不同的网络间实施访问控制策略及包过滤等安全策略。

为了保证个子系统间通信的安全，因此非常必要通过防火墙进行隔离，实施访问控制等安全策略，保证：➢在专业网与办公网彼此之间有合适、安全的界面；➢控制用户访问信息服务；➢监控非法入侵行为➢防护来自广域网的非法入侵。

不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问已明确授权使用的服务和已明确授权使用的内容。

这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方（例如不在城建档案馆网络安全管理及控制范围的公用或外部地方）的用户尤其重要。

防火墙部署说明安装配置硬件防火墙，通过防火墙连接至办公网和专业网，在防火墙间建立DMZ区，保障内外网隔离和系统安全。

1.3.3.病毒防护控制及部署对于城建档案馆这样一个大型的网络系统来说，与病毒斗争将是一项长期艰苦的工作，其主要内容可分为技术方面和非技术方面。

技术方面主要指，防病毒软件的杀毒引擎敏感可靠、病毒库更新快、软件提供集中管理、防病毒策略能让客户机强制执行等特性；非技术方面是指，行政上的规章制度，如禁止用户随意下载游戏和软件、禁止用户随意拷贝和互传不被信任的软件、禁止用户浏览不被信任的站点，以及确保这些规章制度得以执行的培训和监督机制。

从技术角度考虑，一个优秀的企业版防病毒软件除了卓越的查毒引擎外，至少应具有以下特点：集中管理界面自动更新病毒库可对客户端进行远程安装对客户端强制执行查病毒操作等集中式病毒防护控制体系：防病毒系统工作流程➢由于本网络系统采用内、外网物理隔离方法，因此，我们需要定期从因特网下载病毒更新➢病毒更新下载完成后，经测试，手工迁移置中心防病毒服务器上➢中心防病毒服务器在本局域网PC上通过网络安装PC防病毒客户端，并将集中防病毒策略和更新病毒库推到桌面PC上➢各子系统防病毒服务器受中心服务器控制，并定期接收更新病毒库。